计算机网络工程课程设计报告园区网.docx
- 文档编号:30101501
- 上传时间:2023-08-05
- 格式:DOCX
- 页数:13
- 大小:21.81KB
计算机网络工程课程设计报告园区网.docx
《计算机网络工程课程设计报告园区网.docx》由会员分享,可在线阅读,更多相关《计算机网络工程课程设计报告园区网.docx(13页珍藏版)》请在冰豆网上搜索。
计算机网络工程课程设计报告园区网
计算机网络工程课程设计报告(园区网)
网络工程实践课程设计报告课题:
园区网设计姓名:
###########学号:
############同组姓名:
#########################专业班级:
########################指导教师:
###########设计时间:
2011年X月评阅意见:
评定成绩:
指导老师签名:
年月日目录一、课程设计目的2二、设计任务及要求2三、需求分析23.1、调研情况33.2、园区网达到的目标33.3、需求功能3四、网络设计34.1、设计思想44.2、设计原则44.3、总体规划44.4、拓扑设计44.5、物理设计54.5.1、路由器和防火墙选择原则54.5.2、物理设备清单:
64.6、IP设计64.6.1、IP地址分配64.6.2、IP汇聚74.7、路由设计8五、设备安装调试85.1、防火墙的配置步骤85.2、路由器的配置代码95.3、交换机的配置代码15六、设计小结23一、课程设计目的1.体现本课程的教学要求和目标。
2.实现基本的网络工程实施方案。
3.体现学生自主的设计思维和网络工程建网能力。
二、课程设计内容及要求用一组实验设备构建一个园区网,通过防火墙与校园网相联,实现到Internet的访问。
具体如下:
a)在一台两层交换机SW1上划分2个VLAN(Vlan100和Vlan200)。
要求实现:
两个Vlan均能通过路由器访问外网,但两个Vlan之间不能通信。
b)在一台三层交换机SW3上划分2个VLAN(Vlan300和Vlan400),两个Vlan之间能够通信。
要求:
两个Vlan均只能通过路由器访问校园网(10.X.X.X),而不能访问Internet。
c)另外一台两层交换机SW2和一台三层交换机SW4之间使用冗余连接,在两台交换机上均划分两个Vlan(Vlan500和Vlan600),要求Vlan500可以访问内网所有VLAN,Vlan600既可以访问内网,又可以访问Internet。
d)园区网路由器内采用静态路由(或OSPF路由协议),使全网联通。
e)采用路由器将此园区网再与外网(校园网)相联,配置NAT协议。
f)画出网络拓扑图,并给各VLAN划分IP地址、掩码、网关,以及各网络设备接口的IP地址。
g)需要在SW1中的VLAN100里面安装WWW、FTP、电子邮件等基本服务。
用访问控制列表使VLAN300和VLAN500中的用户在上班时间(9:
00~17:
00)不允许访问FTP服务器和WWW服务器,但可以访问EMail服务器。
h)IP分配规则:
D区:
IP范围:
192.168.24.0-192.168.31.255192.168.254.48-192.168.254.63(路由器Serial口用)10.106.207.14(防火墙用IP)三、需求分析3.1、调研情况园区网共有一个总部,分成三个子部,每个子部门划分成两个VLAN,使其隔离及管理方便。
根据网络设计要求,总的信息点将达到3000个左右,信息节点的分布比较分散,使用分层设计网络的思想。
3.2、园区网达到的目标1、在园区网中建成一个适合于信息采集、共享的内部网络,在此基础上建立起供用户培训使用的内部网络以及内部办公网络。
2、使用防火墙、访问控制列表、地址转换安全的实现到Internet的接入与访问,及实现信息在Internet的发布。
3.3、需求功能园区网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高用户办公质量和效率。
园区网的总体设计原则是:
开放性:
采用开放性的网络体系,以方便网络的升级、扩展和互联;
同时在选择服务器、网络产品时,强调产品支持的网络协议的国际标准化;
可扩充性:
从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构,以及技术的开放性和对相关协议的支持等方面,来保证网络系统的可扩充性;
可管理性:
利用图形化的管理界面和简洁的操作方式,合理地网络规划策略,提供强大的网络管理功能;
使日常的维护和操作变得直观,便捷和高效;
安全性:
内部网络之间、内部网络与外部公共网之间的互联,利用VLAN/ELAN、防火墙等对访问进行控制,确保网络的安全;
投资保护:
选用性能价格比高的网络设备和服务器;
采用的网络架构和设备充分考虑到易升级换代,并且在升级时可以最大限度地保护原有的硬件设备和软件投资;
易用性:
应用软件系统必须强调易用性,用户界友好,带有帮助和查询功能,用户可以通过Web查询。
园区网网络建成以后,要实现以下这些功能:
1、WWW服务,作为信息服务的平台。
2、Email服务,作为信息传递和与外界交流的主要手段。
3、FTP服务,作为信息的上传和下载。
4、VLAN技术,使物理设备在逻辑上隔离,便于用户使用和管理。
在今后,本网络还要实现基于ATM的宽带多媒体的校园网,并通过ATM和省宽带多媒体网相连接,实现实时的远程访问。
综上所述,本网络的网络建设必须采用当前最新的网络技术。
四、网络设计4.1、设计思想园区网计算机网络系统应便于将来网络系统的扩充,网络的硬件和软件应具有相对的独立性;
充分考虑网络系统的开放性;
充分考虑硬件的适应性,硬件应具有高度的可连接性和兼容性;
网络系统应具有高度的开放性,能与不同的计算机系统,通讯系统,自动控制系统连接,能连接不同协议的网络系统;
实现多种操作系统平台,多种网络操作系统,多种网络协议互操作。
4.2、网络设计原则1、网络的先进性和实用性的原则采用的硬软件系统既有技术的先进性,又有很高的性能价格比。
2、网络的开放性和兼容性的原则选择符合国际标准的网络硬软件产品,有很好的互换、扩展和升级能力。
3、网络的灵活性和可靠性的原则网络系统能够适应各种网络应用系统,易于今后向更先进的技术迁移,并且要有很好的容错能力。
4、网络的可管理性和易维护性原则配置网管软件,采用具有可管理的网络设备,以便合理规划网络资源和控制网络运行。
整个网络应结构合理,层次划分清楚且具有相对独立性,便于管理和维护。
5、网络系统的保密性和强有力的防病毒性。
4.3、总体规划网络设计采用分层设计的思想,由一台主路由器作为核心层,分别接三台普通路由器作为汇聚层,每台辅助路由器又接交换机作为接入层。
主路由器另一端和防火墙相连接,在防火墙里配置策略隔离内网和外网及提供内网访问外网的配置。
4.4、拓扑设计4.5、物理设计4.5.1、路由器和防火墙选择原则根据园区网的拓扑结构特点、应用及面临的安全隐患,我们将通过路由器、防火墙、杀毒软件,实现网络安全隔离、网络监控措施、网络病毒的防范等安全需求,为园区构建统一、安全的网络。
A:
通过一台路由器隔开外网(Internet)与园区网,路由器中我们设置了防御外部的第一道屏障。
屏蔽路由器对进出内部网络的所有信息进行分析,并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制。
它能根据IP地址、UDP和TCP端口来筛选数据。
如可以在路由器中实现对内部网络在9.00--17.00不允许访问FTP服务器和WWW服务器,但可以访问EMail服务器。
B:
通过防火墙隔离,在园区网络与外界连接处实施网络访问控制,地址转换。
在Internet与园区网内网之间部署了一台防火墙,可以让管理员了解外部网络用户的身份和工作性质,提供访问规则,并针对存取要求授予不同的权限,保证只有经授权许可的信息才能在客户机和服务器间流通。
其中WWW、E-mail、FTP服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接园区网内网路由器,外网口通过路由器与Internet连接。
这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。
具体配制规则如下:
第一,根据园区网安全策略和安全目标,规划设置正确的安全过滤规则,如审核IP数据包的内容包括:
协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网对园区内部网不必要的、非法的访问。
总体上遵从“不被允许的服务就是被禁止”的原则。
第二,将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;
过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
第三,在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
第四,定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
第五,允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
第六,通过在防火墙内设置NAT转换,把内网IP地址转换为外网IP地址,是内部IP透明化,进一步提高内部网络的安全性。
C、汇聚层的三台路由器中设置扩展访问控制列表,对内网中的VLAN访问进行设置,使某些VLAN能访问哪些资源,某些VLAN不能访问哪些资源。
4.5.2、物理设备清单:
设备名称设备型号telnet登录防火墙DCFW-1800S-S10.106.201.25410011路由器DCR-261110.106.201.25410001路由器DCR-170210.106.201.25410004路由器DCR-170210.106.201.25410005路由器DCR-170210.106.201.25410006三层路由交换机DCRS-5526S10.106.201.25410007三层路由交换机DCRS-5526S10.106.201.25410008二层交换机DCS-3926S10.106.201.25410009二层交换机DCS-3926S10.106.201.254100104.6、IP设计4.6.1、IP地址分配端口IP子网掩码路由器40001S0/2192.168.254.49255.255.255.252S0/3192.168.254.57255.255.255.252S1/0192.168.254.53255.255.255.252路由器40004S0/2192.168.254.50255.255.255.252F0/0.1192.168.24.1255.255.255.0F0/0.2192.168.25.1255.255.255.0路由器40005S0/2192.168.254.58255.255.255.252F0/0192.168.28.2255.255.255.0路由器40006S0/2192.168.254.54255.255.255.252F0/0192.168.26.2255.255.255.0防火墙WAN(if0)172.1.1.1255.255.0.0LAN(if1)192.168.254.62255.255.255.252DMA(if2)10.106.207.14255.0.0.0交换机40009VlanPCIP1000192.168.24.142001192.168.25.15交换机400073002192.168.26.14003192.168.27.1交换机400085004192.168.28.16005192.168.29.1交换机400105006192.168.28.36007192.168.29.34.6.2、IP汇聚192.168.254.48/30:
192.168.254.49和192.168.254.50192.168.254.52/30:
192.168.254.53和192.168.254.54192.168.254.56/30:
192.168.254.57和192.168.254.58192.168.254.60/30:
192.168.254.61和192.168.254.62192.168.24.0/23:
192.168.24.0和192.168.25.0192.168.26.0/23:
192.168.26.0和192.168.27.0192.168.28.0/23:
192.168.28.0和192.168.29.04.7、路由设计在路由器上使用OSPF动态路由协议,宣告直连网段,以及配置静态路由到达三层交换机上的非直连网段和配置到外网和校园网的静态路由。
路由表如各设备配置代码。
防火墙上路由使用静态路由配置方法。
五、设备安装调试5.1、防火墙的具体配置步骤 1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到电脑的一个空余串口上。
2.打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
3.运行电脑Windows系统telnet到防火墙上程序。
4.当防火墙进入系统后输入用户名和密码,进入的是防火墙特权用户模式。
可以进行进一步的配置了。
5.配置防火墙LAN口地址(主路由器与防火墙LAN接口在同一网段):
#ifconfigif1192.168.254.62/30#apply#save6、配置管理主机#adminhostadd192.168.24.15#apply#save7、防火墙与管理主机ping测试连通8、打开PC机的IE浏览器,在URL栏中写入:
https:
//192.168.254.62:
1211,得到防火墙界面,可在图形化界面对防火墙进行配置,如下:
a)配置到达内网的路由1.Routeadd192.168.0.0/16192.168.254.61b)设置网络对象1.内网:
pc_trust:
192.168.0.0/162.外网:
pc_untrust:
172.1.0.0/163.DMZ:
dmz:
10.0.0.0/8c)配置策略1.pc_trustàpc_untrust:
any2.pc_trustàdmz:
any3.pc_untrustàpc_trust:
ping(用于回应测试)4.dmzàpc_trust:
ping(用于回应测试)d)配置NAT动态NAT的配置192.168.0.0/16172.1.0.0/16172.1.1.3-172.1.1.255if0192.168.0.0/1610.0.0.0/810.106.207.16-10.106.207.26if2 9、防火墙命令行界面配置:
hostname“Digitalchina“ifconfigmediaif0autoifconfigif0172.1.1.1/16ifconfigserviceif0pingifconfigmediaif1autoifconfigif1192.168.254.62/30ifconfigserviceif1pingifconfigmediaif2autoifconfigif210.106.207.14/8ifconfigserviceif2pingifconfigmediaif3autoifconfigif30.0.0.0/0ifconfigkeepalive-interval0lcdpasswdpbKvPXE0wH/olOadminhostadd192.168.0.1adminhostadd10.0.0.1adminhostadd192.168.24.15adminhostadd192.168.26.15adminhostadd192.168.29.15routeadddefault192.168.254.61routeadd192.168.24.0/24192.168.254.61routeadd192.168.0.0/16192.168.254.61routexadd10.0.0.0/8192.168.0.0/1610.106.207.14ddnsdomain““ddnsserver““ddnsauthp““““zoneattachuntrustif0zoneattachtrustif1zoneattachdmzif2sntpperiod1800sntptimeout10sntpretries3sntpretryinterval10vpnpptpdisablevpnipsecoptionset50086400432005120off0netobjaddstdpc1_turstif1192.168.0.0/16“内部安全主机“netobjaddstdpc0_unturstif0172.1.0.0/16“外部不安全主机“netobjaddstddmzif210.0.0.0/8“次安全网络“nataddp192.168.0.0/16172.1.0.0/16172.1.1.3-172.1.1.255if0nataddp192.168.0.0/1610.0.0.0/810.106.207.16-10.106.207.26if25.2、路由器的配置代码a)路由器40001是在核心层,配置了serial口IP及速率和以太口IP,使用OSPF宣告直连网段,配置静态路由外网和到三层交换机的非直连网段,配置ACL使VLAN300和VLAN500中的用户在上班时间(9:
00~17:
00)不允许访问FTP服务器和WWW服务器,但可以访问EMail服务器。
r40001#showrun!
version1.3.3Cservicetimestampslogdateservicetimestampsdebugdatenoservicepassword-encryption!
hostnamer40001!
interfaceFastEthernet0/0ipaddress192.168.254.61255.255.255.252noipdirected-broadcast!
interfaceFastEthernet0/1noipaddressnoipdirected-broadcast!
interfaceSerial0/2ipaddress192.168.254.49255.255.255.252noipdirected-broadcastphysical-layerspeed64000!
interfaceSerial0/3ipaddress192.168.254.57255.255.255.252noipdirected-broadcastipaccess-groupaaainphysical-layerspeed64000!
interfaceSerial1/0ipaddress192.168.254.53255.255.255.252noipdirected-broadcastipaccess-groupaaainphysical-layerspeed64000!
interfaceAsync0/0noipaddressnoipdirected-broadcast!
routerospf1network192.168.254.60255.255.255.252area0network192.168.254.56255.255.255.252area0network192.168.254.52255.255.255.252area0network192.168.254.48255.255.255.252area0area0range192.168.24.0255.255.254.0area0range192.168.254.48255.255.255.240!
iproute10.0.0.0255.0.0.0192.168.254.62iproute172.1.0.0255.255.0.0192.168.254.62iproute192.168.27.0255.255.255.0192.168.254.54iproute192.168.29.0255.255.255.0192.168.254.58!
ipaccess-listextendedaaadenytcp192.168.26.0255.255.255.0192.168.24.0255.255.255.0eqwwwtime-rangeon_workdenytcp192.168.28.0255.255.255.0192.168.24.0255.255.255.0eqftptime-rangeon_workdenytcp192.168.28.0255.255.255.0192.168.24.0255.255.255.0eqwwwtime-rangeon_workpermittcp192.168.26.0255.255.255.0192.168.24.0255.255.255.0eqsmtptime-rangeon_workpermittcp192.168.28.0255.255.255.0192.168.24.0255.255.255.0eqsmtptime-rangeon_workdenytcp192.168.26.0255.255.255.0192.168.24.0255.255.255.0eqftptime-rangeon_workpermitipanyany!
iphttpset-wan-count1!
time-rangeon_workperiodicweekdays09:
00to17:
00!
b)路由器40004是在汇聚层,配置了serial口IP及速率和以太口IP,使用OSPF宣告直连网段,配置静态路由外网和到三层交换机的非直连网段,使用单臂路由配置二层交换机VLAN的网关,配置ACL使VLAN100和VLAN200不能互相访问。
r40004#showrunBuildingconfiguration...Currentconfiguration:
!
version1.3.3Cservicetimestampslogdateservicetimestampsdebugdatenoservicepassword-encryption!
hostname
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络 工程 课程设计 报告 园区网
![提示](https://static.bdocx.com/images/bang_tan.gif)